при включении компа виден тока фоновый рисунок...explorer.exe не находит...спасает AVZ восстановление

Printable View

25.08.2009, 15:21
tr0nik

при включении компа виден тока фоновый рисунок...explorer.exe не находит...спасает AVZ восстановление

при включении компа виден тока фоновый рисунок...explorer.exe не находит...спасает AVZ восстановление ...вирусняк какойто?
логи прикрепил
25.08.2009, 15:29
Белый Сокол

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('digiwet.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Documents and Settings\Buh\Desktop\vfd21-080206\vfd.sys','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
TerminateProcessByName('c:\windows\system32\winagent.exe');
QuarantineFile('c:\windows\system32\winagent.exe','');
TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
QuarantineFile('c:\dipost\sprintertrayagent.exe','');
QuarantineFile('c:\windows\system32\riodrv.exe','');
TerminateProcessByName('c:\windows\system32\riodrv.exe');
DeleteFile('c:\windows\system32\riodrv.exe');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('c:\windows\system32\winagent.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('crypts.dll');
DeleteFile('$‘|x8.exe');
DeleteFile('digiwet.dll');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WHYFCT2J\mss8[1].exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
executeRepair(13);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Сохраните hjT нормально, а не во временной директории.

[B]Пофиксить в HJT[/B] (строки могут отсутствовать):
[code]F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe
F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [Generic Host for Win32 Services] $‘|x8
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKLM\..\Run: [Microsoft Internet Agent] c:\windows\system32\winagent.exe
O20 - Winlogon Notify: crypt - crypts.dll (file missing)[/code]
Повторите логи.
25.08.2009, 15:30
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe
F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe,C:\WINDOWS\system32\sdra64.exe,
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WHYFCT2J\mss8[1].exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('$‘|x8.exe','');
QuarantineFile('crypts.dll','');
QuarantineFile('digiwet.dll','');
QuarantineFile('Explorer.exe riodrv.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('c:\windows\system32\winagent.exe','');
TerminateProcessByName('c:\windows\system32\winagent.exe');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
QuarantineFile('c:\windows\system32\riodrv.exe','');
TerminateProcessByName('c:\windows\system32\riodrv.exe');
DeleteFile('c:\windows\system32\riodrv.exe');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('c:\windows\system32\winagent.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('Explorer.exe riodrv.exe');
DeleteFile('digiwet.dll');
DeleteFile('crypts.dll');
DeleteFile('$‘|x8.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WHYFCT2J\mss8[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- [URL="http://virusinfo.info/showthread.php?t=7660"]Очистите[/URL] файл [B]hosts[/B].
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.